AI en de soevereine cloud
Om als overheid op een verantwoorde en veilige manier AI te gebruiken, moet die aan een aantal voorwaarden voldoen. Een paar van deze voorwaarden zijn extra relevant in deze tijd van geopolitieke spanningen. Organisaties willen niet meer (te) afhankelijk zijn van niet-Europese leveranciers en zijn daarom op zoek naar alternatieven. Dat geldt zeker ook voor de overheid. Maar wat betekent dit voor de AI die je als overheid wilt gebruiken? Twee dingen zijn hiervoor belangrijk: de cloudomgeving waar de AI-toepassing draait en het AI-model dat je gebruikt.
Om afhankelijkheid van een specifieke cloudaanbieder te voorkomen, moet GOV-AI cloudagnostisch zijn. Dat betekent dat je niet gebonden bent aan een specifieke cloud en dus altijd kunt switchen van aanbieder. De vraag naar digitale soevereiniteit geeft hieraan een extra dimensie: organisaties willen minder afhankelijk worden van niet-Europese aanbieders, ook als het gaat om het gebruiken van AI vanuit de cloud. Als Centric komen we aan die vraag tegemoet met een volledig Nederlandse cloud, waarmee we de digitale soevereiniteit borgen. Dat betekent onder meer dat data in deze cloud uitsluitend wordt opgeslagen in Nederlandse datacenters, buiten het bereik van buitenlandse wetgeving zoals de Amerikaanse Cloud Act.
We hebben in Europa alles in huis voor innovatieve AI-toepassingen, die beschikbaar zijn vanuit een onafhankelijke en soevereine cloud. Laat je niet wijsmaken dat dat niet zo is!
Razo van Berkel, AI Engineer Centric
Wat geldt voor de cloud, geldt ook voor de AI-modellen die worden gebruikt. Zoals taalmodellen (LLM). Die toepassing moet LLM-agnostisch zijn, zodat deze niet gebonden is aan een specifiek taalmodel. Dit heeft een aantal voordelen: je kunt makkelijk overstappen als er een geavanceerder taalmodel beschikbaar komt. En je kunt switchen als de aanbieder van een taalmodel niet meer past bij jouw organisatiedoelstellingen, of misschien door (geo)politieke overwegingen niet meer voor jou beschikbaar is.
Neem je een pakket of kook je zelf?
Het is nu al mogelijk om clouddiensten te gebruiken vanuit een Nederlandse of Europese cloud. Waarom gebruiken dan nog zoveel organisaties de diensten van veelal Amerikaanse partijen, de zogeheten hyperscalers? Partijen als Amazon en Microsoft domineren deze markt; samen hebben ze
meer dan 50% van de markt van cloudinfrastructuur in handen. Vaak wordt gedacht dat deze aanbieders goedkoper zijn dan Europese spelers, maar dat blijkt niet altijd het geval. De verschillen tussen cloudproviders zijn fors en de grote Amerikaanse partijen zijn soms wel vier tot tien keer duurder dan de Europese (als je daar meer over wilt weten, kijk dan op deze website waar je alle cloudproviders kunt vergelijken). Een andere reden voor de dominantie van de hyperscalers is hun grote dienstenaanbod. Dat lijkt makkelijk, want je kunt alles bij één partij halen. Maar heb je die diensten allemaal nodig? Zeker voor kleinere organisaties is dat zeer de vraag. Ik vergelijk het wel eens met koken. Kies je voor een pakje waar alles in zit, of zoek je zelf de ingrediënten bij elkaar? Het laatste is meer werk, maar waarschijnlijk goedkoper en vaak gezonder en lekkerder. Het is bovendien toekomstvast: als de kant-en-klare pakjes niet meer worden verkocht, dan kun je nog steeds dat lekkere gerecht maken. Het is misschien een wat eenvoudige vergelijking, maar ik denk dat dit ook geldt voor clouddiensten.
deze website waar je alle cloudproviders kunt vergelijken). Een andere reden voor de dominantie van de hyperscalers is hun grote dienstenaanbod. Dat lijkt makkelijk, want je kunt alles bij één partij halen. Maar heb je die diensten allemaal nodig? Zeker voor kleinere organisaties is dat zeer de vraag. Ik vergelijk het wel eens met koken. Kies je voor een pakje waar alles in zit, of zoek je zelf de ingrediënten bij elkaar? Het laatste is meer werk, maar waarschijnlijk goedkoper en vaak gezonder en lekkerder. Het is bovendien toekomstvast: als de kant-en-klare pakjes niet meer worden verkocht, dan kun je nog steeds dat lekkere gerecht maken. Het is misschien een wat eenvoudige vergelijking, maar ik denk dat dit ook geldt voor clouddiensten.
waar je alle cloudproviders kunt vergelijken). Een andere reden voor de dominantie van de hyperscalers is hun grote dienstenaanbod. Dat lijkt makkelijk, want je kunt alles bij één partij halen. Maar heb je die diensten allemaal nodig? Zeker voor kleinere organisaties is dat zeer de vraag. Ik vergelijk het wel eens met koken. Kies je voor een pakje waar alles in zit, of zoek je zelf de ingrediënten bij elkaar? Het laatste is meer werk, maar waarschijnlijk goedkoper en vaak gezonder en lekkerder. Het is bovendien toekomstvast: als de kant-en-klare pakjes niet meer worden verkocht, dan kun je nog steeds dat lekkere gerecht maken. Het is misschien een wat eenvoudige vergelijking, maar ik denk dat dit ook geldt voor clouddiensten.
De toepassingen zijn er, doe er je voordeel mee!
Het is best te begrijpen dat we de afgelopen jaren afhankelijk zijn geworden van een aantal grote, Amerikaanse aanbieders van clouddiensten en, sinds kort, AI-toepassingen. Maar nu we ons realiseren dat die afhankelijkheid wel erg groot en risicovol is, is het goed om te weten dat er alternatieven beschikbaar zijn. Zoals de soevereine cloud die we aanbieden, en ons Mynte GOV-AI platform. We geven daar sinds kort wat meer ruchtbaarheid aan, misschien ziet u onze berichten daarover voorbijkomen. We gaan de specifieke toepassingen die we ontwikkelden op Mynte, voor het voetlicht brengen. Zoals een installatie van grote taalmodellen voor generatieve AI binnen de eigen organisatie, zeg maar onze eigen variant van Microsoft Copilot. Het zijn bestaande toepassingen, die je zo in je organisatie kunt inzetten. Er zijn er meer, van ons en van andere Europese aanbieders. We zullen in de nabije toekomst niet helemaal onafhankelijk worden van de grote, Amerikaanse spelers. Maar we kunnen wel grote stappen zetten om die afhankelijkheid te verkleinen. Ook en misschien wel juist op het gebied van GOV-AI. De toepassingen zijn er, dus doe er je voordeel mee!
Auteur bijdrage: Razo van Berkel.
Razo van Berkel werkt als AI-engineer bij de afdeling Data en Innovatie bij Centric Digitale Overheid en houdt zich bezig met GOV-AI en de ontwikkeling van het Mynte GOV-AI platform.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Stel: je bouwt eindelijk een “soevereine” cloud, los van Big Tech. Eén plek waar alles veilig is. Eén platform waar de overheid op kan leunen. Eén leverancier die belooft: wij regelen het: . Klinkt als Bevrijdingsdag en geeft de illusie van soevereiniteit (lekker alles zelluf doen) — maar in architectuurtermen is dit vooral een Single point of failure. En daar wringt het! Centralisatie maakt je kwetsbaar — fysiek, digitaal én geopolitiek
Centralisatie is efficiënt tot het misgaat. Dan wordt het catastrofaal.
Een datacenterregio kan geraakt worden door brand, overstroming, langdurige stroomproblemen of ketenuitval. Wie één kroonjuweel bouwt, bouwt ook één ultiem doelwit. Zelfs ALS de cloud “autonoom” heet, blijft de echte vraag: *onder welke wetten, welke toeleveranciers, welke extraterritoriale claims? Dat geldt ook voor je AI platform. Een gedistribueerd en gefedereerd model dempt die risico’s: data en verwerking verspreid over meerdere locaties en providers, met eenduidige governance en controles. Niet omdat “verspreid” hip is, maar omdat dat resilience-engineering is en we in een hybride oorlog zitten die nooit meer overgaat. Ga je natuurlijk niet meer al je eieren in één mandje doen. Digitale soevereiniteit is geen vlag, maar een ontwerpprincipe en dat gaat voorbij aan een “EU-label” of “eigen datacenter” of eigen LLM doos. Het gaat over handelingsvrijheid. Kun je weg migreren zonder herbouw?
Kun je componenten vervangen zonder politieke of contractuele gijzeling? Kun je je data- en identiteitslaag zó inrichten dat je niet afhankelijk bent van één roadmap, laat staan van de IAM infrastructuur van je toeleverancier? Lock-in heeft vele gezichten.
Een federatie dwingt een ander denkmodel af: cloud-agnostisch waar het kan,
Open Standaarden waar het moet en vooral: data portability en exit-by-design.
Innovatie vraagt keuzevrijheid — óók (JUIST) in AI. De maatschappelijke realiteit is dat AI zich veel sneller ontwikkelt dan welke aanbestedingscyclus ook. Als je AI-capaciteit dus hard koppelt aan één cloud, dan koppel je je innovatie (en daarmee adaptievermogen) aan één leverancier. Daarom is “cloud-agnostisch” hooguit een begin, maar voor overheidstoepassingen natuurlijk volstrekt onvoldoende. Al was het maar omdat 'edge eats cloud for breakfast'. Je wilt óók model-agnostisch kunnen werken, dus je wilt als Staat kunnen werken met verschillende AI-modellen (open/closed, klein/groot, Europees/niet-Europees); op basis van verschillende deploymentvormen (on-prem, edge, private cloud, publieke cloud) en en bovenal, met real time audit trail op controleerbaarheid, uitlegbaarheid en auditability. Dat vereist niet één locatie met één infrastructuur, maar federatieve Security by Design en Zero Trust: federatie is geen zwakte, maar juist een hefboom. De Staat moet dus waken voor het reflex argument van de centralisatie, standaardisatie en harmonisatoe: “één cloud is veiliger want één team, één standaard.” Dat klopt slechts als je veiligheid verwart met uniformiteit.
Hedendaagse beveiliging werkt niet meer achteraf met security-by-check-in-a-box, eens per jaar, maar met principes als Zero Trust (nooit impliciet vertrouwen; altijd verifiëren), least privilege, policy-based access control en end-to-end logging & auditing.
Juist die principes moeten we sterker afdwingen, omdat je de blast radius verkleint (compromis ≠ totale compromise), de segmentatie en scheiding van domeinen veel natuurlijker organiseert en voorkomt dat één fout in één platform alles raakt.
Ja natuurlijk lijken hyperscalers goedkoop, maar afhankelijkheid is duurkoop gebleken.
“Goedkoop” in de cloud is een boekhoudkundige illusie: lage instapkosten, hoge lock-in-kosten. Een beetje als een slecht huwelijk. Een gefedereerd model ondersteunt in elk geval competitieve inkoop (niet één leverancier die de prijs dicteert), het geeft flexibiliteit in fit-for-purpose oplossingen (niet alles over dezelfde “one size fits all”-straat en het gaat sowieso vaak om abonnement modellen, dus waarom mag je je eigen data niet tussen verschillende abonnementen laten bouncen?) en het levert veel betere stuurinformatie: kosten per dienst, per dataset, per keten. Geeft ook meteen eerlijke kansen aan alle andere kleine en vaak zeer goede en gespecialiseerde Nederlandse data centra. Beter dus om het debat " governance boven gadget" te maken.
Het echte verschil zit niet in “één cloud vs. meerdere clouds”, maar in de vraag:
wie bestuurt, volgens welke regels, met welke meetbare controles?
De Staat zou er dus beter aan doen om federatie tot het strategische uitgangspunt te maken: meerdere providers, meerdere regio’s, één governance- en controleraamwerk.
Draaiend op cloud-agnostische (en waar nodig model-agnostische) bouwblokken, die uitgaan van portabiliteit, gestandaardiseerde interfaces en keiharde afspraken over dataformaten en policies. De discussie, of het nou om cloud of om AI gaat, GAAT niet om 'infrastructuur' maar om 'data'. Dus maak Zero Trust de norm in het hele netwerk!
Identiteit, device posture, continue autorisatie, encryptie, logging: overal gelijk, ongeacht de provider. Dit vereist stoppen met neuzelen over cloud en AI als afzondelijke onderwerpen, maar strategisch primair investeren in Data Governance en semantiek.
Het maakt geen moer uit waar de boel staat als je maar weet WAT WAAR staat.
Het wordt tijd dat we gaan denken in termen van work-load allocatie i.p.v. content. Soevereiniteit zit in de datastructuur, de betekenislagen en in de afspraken:
classificatie, lineage, toestemming, bewaartermijnen, audit.
Dat zou impliceren dat het verstandiger zou zijn om een Europees ecosysteem te gaan bouwen van samenwerkende kleine datacentra en niet door het enablen van tijdelijk monopolie na aanbesteding. Daarvoor zou marktwerking georganiseerd moeten kunnen worden binnen een gedeeld raamwerk voor interoperabiliteit, certificering, duidelijke compliance-eisen. Een discussie die niet gaat over cloud of AI, maar multidisciplinair moet worden gevoerd tussen bestuurders, CISO’s, inkopers en architecten.
Federatie faalt zelden op techniek; het faalt op begrip, mandaat en governance.
Een “autonome cloud”, zoals hier aangeboden, kan onderdeel zijn van de oplossing, maar één autonome cloud als alternatief voor Big Tech vervangt vooral één afhankelijkheid door een andere — en centraliseert precies datgene wat we in een onstabiele wereld juist moeten spreiden, segmenteren en bestuurbaar maken.
De volwassen route naar digitale soevereiniteit is geen single cloud promise.
Het is een federatief stelsel: governance-gedreven, security-by-design, interoperabel, en strategisch wendbaar.